Voorstel richtlijn netwerkveiligheid als onderdeel van EU cyber security strategie: naar een open, veilig en betrouwbaar internet?

Maat: px
Weergave met pagina beginnen:

Download "Voorstel richtlijn netwerkveiligheid als onderdeel van EU cyber security strategie: naar een open, veilig en betrouwbaar internet?"

Transcriptie

1 Voorstel richtlijn netwerkveiligheid als onderdeel van EU cyber security strategie: naar een open, veilig en betrouwbaar internet? Trefwoorden: Beveiliging informatiesystemen, cybersecurity strategie, richtlijn Samenvatting: Het artikel behandelt het voorstel van de Commissie van 7 februari 2013 om een richtlijn in te voeren ter verhoging van het algehele niveau van beveiliging van netwerk en informatiesystemen in de Europese Unie. Het voorstel vormt een onderdeel van de cybersecurity strategie van de Commissie. De auteurs plaatsen kanttekeningen bij (de effectiviteit van) de gekozen maatregelen en de implementatie daarvan in het licht van een uitgebreide beschrijving van de voorliggende problematiek. Zij onderschrijven evenwel de noodzaak tot het treffen van maatregelen op Europees niveau en sluiten af met hun aanbevelingen ter versterking van het voorstel en de cybersecurity strategie. Bron: Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk en informatiebeveiliging in de Unie te waarborgen /* COM/2013/048 final Joeri Toet & Arno R. Lodder 1 Inleiding Op 7 februari 2013 publiceerde de Europese Commissie in de vorm van een integrale cybersecurity strategie haar visie op de aanpak van informatiebeveiligingsproblemen. Als prioriteiten stelt zij onder andere het verhogen van de digitale weerbaarheid, het reduceren van cybercrime en het ontwikkelen van een Europees cyberdefensiebeleid alsmede een internationaal beveiligingsbeleid voor cyberspace. Hiermee streeft de Commissie een veilige en betrouwbare digitale omgeving na en tracht zij de fundamentele Europese rechten en kernwaarden te waarborgen. 2 Een belangrijk onderdeel van de strategie van de Commissie wordt gevormd door een richtlijn die een hoger gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen beoogt te realiseren (de "NIB-Richtlijn"). 3 Een voorstel voor deze richtlijn publiceerde de Commissie samen met haar strategie. In dit artikel gaan wij op dit voorstel nader in. Wij behandelen eerst de achtergrond van de problematiek en evalueren vervolgens de maatregelen die de Commissie voorstelt om deze problematiek te adresseren. Wij sluiten af met onze conclusies en enkele aanbevelingen. Achtergrond van de problematiek Informatie- en communicatietechnologie ( ICT ) zijn van cruciaal belang voor het functioneren van onze hedendaagse maatschappij. Aangezien deze afhankelijkheid toeneemt, nemen ook de potentiële negatieve gevolgen van een falen daarvan toe. Het toenemende aantal incidenten leidt ook langzamerhand tot onderkenning van de kwetsbaarheid daarvan en de noodzaak om risico s beter te beheersen. 1 Joeri Toet is advocaat bij De Brauw Blackstone Westbroek N.V. Arno R. Lodder is hoogleraar Internet Governance and Regulation aan de Vrije Universiteit Amsterdam, afdeling Transnational Legal studies. 2 Europese Commissie, "Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace", JOIN(2013)1, 7 februari Voorstel voor een richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, COM(2013)48 final /0027(COD), 7 februari 2013

2 Informatiebeveiliging en - in bredere zin - het correct functioneren van ICT wordt vaak nagestreefd op basis van het zogenaamde CIA-Model dat staat voor confidentialieit (confidentiality), integriteit (integrity) en beschikbaarheid (availability). 4 Kwetsbaarheden die kunnen leiden tot tekortkomingen van informatiebeveiliging kunnen verschillende oorzaken hebben. In de eerste plaats kunnen zij het gevolg zijn van gebrekkige hardware of software. Tijdens het ontwikkelproces kunnen daarin (veelal niet direct zichtbare) fouten terechtkomen. Tekortkomingen kunnen ook het gevolg zijn van een onjuist gebruik van technologie. Dat kan gelegen zijn in de implementatie daarvan, zoals wanneer beveiligingsfuncties niet correct worden ingesteld (bijv. toepassing van encryptie op een database). Onjuist gebruik van technologie kan ook gelegen zijn in het eindgebruik, zoals wanneer wachtwoorden worden uitgeleend. Het gevolg van het gebruik van kwetsbare producten en onjuist gebruik is telkens dat informatie en de ICT waarmee die verwerkt wordt, kwetsbaar zijn voor verstoring, uitval en misbruik. Incidenten kunnen zich manifesteren ten gevolge van opzettelijk kwaadwillend handelen. Daarvan is onder andere sprake bij cybercrime, hacktivisme of spionage. Dit soort aanvallen blijken in aantal en complexiteit toe te nemen en zijn bovendien vaak in het nieuws. 5 Wellicht ligt er daarom zoveel nadruk op. Men realisere zich dat de meeste incidenten evenwel het gevolg zijn van fouten in systemen en bij het gebruik daarvan. 6 Uitval kan ook het gevolg zijn van overmacht, zoals branden en natuurrampen. Illustratief is de brand die in 2012 een telefooncentrale van Vodafone platlegde. 7 Het is belangrijk om in te zien dat het bestrijden van kwaadwillend handelen ander ingrijpen vereist dan het voorkomen van fouten bij het ontwikkelen en gebruiken van ICT producten. Begrip van de oorzaak van beveiligingsproblemen is noodzakelijk voor het bepalen van de gewenste aanpak daarvan. Onprofessioneel handelen door fabrikanten en gebruikers vraagt om een andere aanpak dan misbruik van ICT. Waar informatiebeveiliging tekortschiet, ligt daar vaak een diepgaandere oorzaak aan ten grondslag die haar oorsprong vindt in een complexe economische dynamiek tussen betrokken actoren aan ten grondslag. Moore en Anderson beschrijven bijvoorbeeld hoe commerciële prikkels producenten ertoe kunnen aanzetten om (nog) gebrekkige hardware en software naar de markt te brengen en hoe het niet hoeven dragen van schade kan leiden tot te weinig aandacht voor beveiliging tijdens de ontwikkeling en het gebruik van ICT producten. 8 Met juridische maatregelen kan voornoemd gedrag op verschillende manieren worden bijgestuurd. 9 Europese privacy en telecomwetgeving bevat bijvoorbeeld beveiligingsverplichtingen. Telecomwetgeving bevat daarnaast een meldplicht voor incidenten dienaangaande. 10 Deze verplichtingen beogen onder andere (minimum) maatregelen af te dwingen en de verwezenlijking van risico s inzichtelijk te maken. Er wordt verder gewerkt aan wetgeving die binnen Europa de strafrechtelijke behandeling van aanvallen op ICT-middelen moet harmoniseren. Hiermee wordt beoogd kwaadwillende actoren te ontmoedigen dan wel te straffen. 11 Niet onbelangrijk is verder dat in 2004 het Europees Netwerk en Informatiebeveiliging Agentschap werd opgericht (bekend onder de Engelse afkorting "ENISA"). 12 ENISA heeft tot taak om de Unie, de lidstaten en (indirect) het bedrijfsleven te helpen om netwerk- en informatiebeveiligingsproblemen het hoofd te bieden. Daartoe onderhoudt zij onder andere een kennisinstituut en helpt zij het gebruik van ICT te professionaliseren. Met name 4 Soms wordt verantwoording (accountability) als een apart doel nagestreefd, zodat de onweerlegbaarheid van informatie wordt verzekerd. Opgemerkt moet worden dat het CIA-Model zich primair richt op de beveiliging van informatie. De bescherming van verwerkingsmiddelen wordt niet zelfstandig nagestreefd (bijv. het voorkomen van oneigenlijk gebruik van de apparatuur waarmee informatie verwerkt zoals bij het onttrekken van capaciteit aan systemen zonder informatie aan te tasten). 5 DG Internal Policies, Data and Security Breaches and Cyber-Security Strategies in the EU and its International Counterparts, IP/A/ITRE/NT/2013-5, September 2013, p. 29 e.v. 6 Ponemon Istutiute (gesponsored door Symantec), 2013 Cost of Data Breach Study: Global Analysis, mei 2013, p. 7 7 Volkskrant, Telefoonstoring Vodafone houdt hele dag aan, 4 april T. Moore & R. Anderson, Economics and Internet Security: a Survey of Recent Analytical, Empirical and Behavioral Research, Computer Science Group, Harvard University, National Research Council Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options for U.S. Policy, Washington, DC, The National Academic Press, 2010, p. 3 e.v. 10 Europese Commissie, Impact Assessment accompanying the document Proposal for a Directive of the European Parliament and of the Council Concerning measures to ensure a high level of network and information security across the Union, SWD(2013)31, 7 februari 2013, p Europese Commissie, Voorstel voor een richtlijn van het Europees Parliament en de Raad over aanvallen op informatiesystemen en tot intrekking van Kaderbesluit 2005/222/JBZ van de Raad, COM(2010)517, 30 september Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging (Pub. L 077 van 13/03/2004 blz )

3 daartoe zien wij een noodzaak. Het mandaat van ENISA werd tweemaal verlengd, alvorens de positie van ENISA in 2013 werd bestendigd in een nieuwe verordening. 13 Ondanks bestaande maatregelen en initiatieven op zowel Europees als nationaal niveau constateert de Commissie dat het niveau van beveiliging van netwerk- en informatiesystemen in de Unie over het algemeen onvoldoende is. De Commissie stelt vast dat lidstaten in zeer wisselende mate in staat zijn om problemen het hoofd te bieden, (te) weinig samenwerken en (te) weinig informatie delen. Voor zowel publieke als private actoren geldt dat waar incidenten al opgemerkt worden, deze vaak niet gerapporteerd worden uit angst voor reputatieschade en aansprakelijkheid. Europa is daardoor te kwetsbaar voor elektronische incidenten, risico s en bedreigingen. 14 Nu veel informatiesystemen onderling met elkaar verbonden zijn en het internet grenzeloos is, hebben beveiligingsrisico s en incidenten veelal grensoverschrijdende oorzaken en gevolgen. 15 Als het vertrouwen in de veiligheid van ICT afbrokkelt dan kan dit het functioneren van de interne markt ondermijnen. De Commissie acht het daarom noodzakelijk om door middel van wetgeving een hoger niveau van beveiliging af te dwingen. Het voorstel voor de NIB-Richtlijn is hiervan het resultaat. 16 Voorstel voor een richtlijn ter verhoging van de beveiliging van netwerk- en informatiesystemen De NIB-Richtlijn introduceert maatregelen die een hoog niveau van beveiliging van Informatiesystemen binnen de Europese Unie moeten garanderen. De richtlijn definieert beveiliging als de mogelijkheid van een Informatiesysteem om ongelukken en kwaadwillend handelen te weerstaan dat invloed heeft op het vereiste niveau van beschikbaarheid, authenticiteit, integriteit en confidentialiteit van gegevens of gerelateerde diensten. Risico s zijn omstandigheden of gebeurtenissen die van negatieve invloed kunnen zijn op de beveiliging. Incidenten zijn omstandigheden of gebeurtenissen die een daadwerkelijk negatief effect op de beveiliging hebben. Interessant is de definitie die de NIB-Richtlijn aan het begrip netwerk- en informatiesysteem ( Informatiesysteem ) geeft. Dat zijn: (i) elektronische communicatienetwerken zoals gedefinieerd in Richtlijn 2002/21/EG, namelijk de transmissiesystemen en in voorkomend geval de schakel- of routeringsapparatuur en andere middelen die het mogelijk maken signalen over te brengen... ; (ii) met elkaar verbonden of verwante apparaten die op basis van een programma automatisch gegevens verwerken; en (iii) digitale gegevens opgeslagen, verwerkt, opgehaald of verzonden worden door middel van de voorgaande voor hun functioneren, gebruik of onderhoud. Opvallend is dat deze definitie de data omvat die worden verwerkt. In de discussies omtrent (de vormgeving van) de NIB-Richtlijn wordt hieraan nauwelijks aandacht besteed. De aandacht gaat veeleer uit naar de technologie waarmee data verwerkt worden. Daarop zijn ook de maatregelen in de richtlijn gericht. Dat op het resultaat van de gebruikte technologie vertrouwd kan worden lijkt ons evenwel juist het eigenlijke doel van de richtlijn. Dat resultaat bestaat uit de geproduceerde data. Zo wil de exploitant van een webwinkel betalingen verwerken en er daartoe van op aankunnen dat de betalingsbevestiging die zij van de bank van haar klant ontvangt juist is. Daartoe moeten de systemen van de bank weliswaar voldoende betrouwbaar zijn, maar die beveiliging is niet het enige noch het eigenlijke doel. De vraag is of deze nuance in het voorstel voor de NIB-Richtlijn voldoende onderkend wordt. Het risico bestaat anders dat het initiatief ondoelmatig is. 13 Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad van 21 mei 2013 inzake het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) en tot intrekking van Verordening (EG) nr. 460/2004 (Pub. L 165 van 18/06/2013 blz ) 14 Idem., zie: COM2013(48), p Een systeem in Nederland kan bijvoorbeeld door een hacker in Italië worden aangevallen. Andersom vertrouwden partijen over de hele wereld ten onrechte op de integriteit van digitale certificaten die door Diginotar in Nederland werden beheerd. Toen haar systemen gecompromitteerd bleken te zijn, was het voor de aanvaller mogelijk om zich online als anderen voor te doen. Dit leidde er bijvoorbeeld toe dat dat de van Iraanse dissidenten op Google servers kon worden afgeluisterd. Zie: The Guardian, Diginotar SSL certificate hack amounts to cyberwar, says expert 5 september Idem., zie: COM2013(48), p. 3

4 Beschouwen wij de wijze waarop de NIB-Richtlijn haar doelstelling beoogt te verwezenlijken dan stellen wij vast dat zij daartoe drie categorieën van maatregelen introduceert, namelijk: (i) vereisten waaraan lidstaten moeten voldoen om de beveiliging van Informatiesystemen te garanderen en om daarnaast om te kunnen omgaan met risico s en incidenten; (ii) verplichtingen voor lidstaten om gecoördineerd uitvoering te geven aan de vereisten van de NIB- Richtlijn; en (iii) beveiligingsvereisten voor aangewezen categorieën van publieke en private partijen. We gaan hierop hierna nader in. Op voorhand stellen wij vast dat de NIB-Richtlijn zelf geen methodologie aanwijst of criteria formuleert om aan een gewenst of vereist niveau van beveiliging uitdrukking te geven. De vraag is hoe de ambities van de NIB-Richtlijn geobjectiveerd zouden kunnen worden om haar effectiviteit (beter) te kunnen beoordelen. Ten aanzien van informatiebeveiliging in brede zin en beschikbaarheid (availability) in het bijzonder kan gedacht worden aan bereikbaarheid gedurende een periode (bijv. in de zin van service level afspraken). Objectieve criteria voor confidentialiteit, integriteit en verantwoording laten zich lastiger formuleren. Het gevolg daarvan is dat in de praktijk een toevlucht gezocht wordt tot het specificeren van maatregelen of controls die bepaalde doeleinden of control objectives dienen. 17 Toetsing daarvan (zoals bijvoorbeeld in audits) is administratief inspannend en biedt desondanks weinig zekerheid omtrent de mate van beveiliging. Vereisten voor de afzonderlijke lidstaten Een vereiste om binnen de Unie een hoger algemeen niveau van beveiliging van Informatiesystemen te bewerkstelligen, is dat alle lidstaten beschikken over vergelijkbare (minimale) capaciteiten om dreigingen, risico s en incidenten het hoofd te bieden. Dat is nu niet het geval en de NIB-Richtlijn beoogt daarin verandering te brengen door lidstaten te verplichten om tenminste bepaalde activiteiten te ondernemen en om daartoe de nodige organisatorische structuren voor in het leven te roepen. Bewerkstelliging van een hoog beveiligingsniveau De richtlijn legt lidstaten een verplichting op om binnen hun grondgebied zorg te dragen voor een hoog niveau van beveiliging van Informatiesystemen (artikel 4). Anders dan dat hiermee een ambitie wordt uitgesproken, is de vraag wat vervolgens moet kwalificeren als een (voldoende) hoog niveau van beveiliging. In navolging van ons algemene commentaar op het voorstel vragen wij ons bij gebreke van objectieve criteria af of het exacte doel van de NIB-Richtlijn voldoende nauwkeurig bepaald is en of de te stellen normen daaraan voldoende dienstbaar zijn. Het voorstel werkt nu in haar algemeenheid (minimum) activiteiten uit die lidstaten moeten ondernemen (waarover hierna meer). Zonder dat expliciet tot doel te stellen lijken deze activiteiten sterk gericht op het verhogen van de weerbaarheid tegen kwaadwillend handelen en te weinig op het bestrijden van de problematiek in meer fundamenteel opzicht. Onderhoud van een cybersecurity strategie De NIB-Richtlijn vereist dat iedere lidstaat tenminste een nationale netwerk- en informatiebeveiligingsstrategie onderhoudt. Dit dient strategische doelstellingen ter verhoging van de beveiliging van netwerk- en informatiesystemen te identificeren, alsmede het beleid en de maatregelen die ter verwezenlijking daarvan zullen worden genomen (artikel 5). Het voorstel specificeert een vijftal punten waaraan een beveiligingsstrategie tenminste moet voldoen. In de eerste plaats moeten doelstellingen en prioriteiten worden bepaald naar aanleiding van een actuele analyse van risico's en incidenten en er moet een bestuursmodel worden ingericht om deze doelstellingen te realiseren. De strategie moet verder in algemene zin mogelijke (voorbereidings-, reactie- en herstel-)maatregelen beschrijven die bij incidenten getroffen moeten worden en lijnen uitzetten voor opleidingsprogramma's, bewustwordingscampagnes en programma s voor speur- en ontwikkelwerk. De nationale strategie moet een apart samenwerkingsplan bevatten waarin taken, verantwoordelijkheden en procedures van de betrokken actoren worden vastgelegd. Een onderdeel hiervan is bijvoorbeeld het plan aan de hand waarvan risico s beoordeeld moeten worden. 17 Zoals bijvoorbeeld uitgewerkt in de ISO/IEC standaarden.

5 Zowel verschillende Europese lidstaten als landen buiten de Europese Unie onderhouden al enige tijd eigen cyber security strategieën. 18 Nederland doet dat sinds 2011 en publiceerde onlangs de opvolger van haar eerste strategie. 19 Een belangrijk onderdeel van de Nederlandse strategie is het Cyber Security Beeld Nederland. 20 De focus daarvan ligt wellicht nog (te) beperkt op kwaadwillende actoren en het reageren daarop en dit vormt nog in sterke mate het beleid. Desalniettemin onderhoudt Nederland hiermee ons inziens het meest fundamentele en straks vereiste onderdeel om een succesvol beleid op te kunnen baseren. Het huidige beleid incorporeert ook veel van de vereisten die de NIB-Richtlijn beoogt te stellen. Op het terrein van governance en samenwerking moeten taken, rollen en verantwoordelijkheden verder uitkristalliseren, maar dat wordt onderkend. Op het terrein van onderwijs zal een publiek-private taskforce Cybersecurity Onderwijs worden ingericht. 21 Er wordt al een onderzoeksagenda onderhouden. 22 Hoewel er ruimte is voor verbetering, ligt hiermee een fundament waar de vereisten uit de NIB-Richtlijn ons inziens nauwelijks aan toevoegen. Aanwijzing van een nationale competente autoriteit De NIS-richtlijn vereist dat lidstaten een nationale autoriteit aanwijzen en met voldoende middelen toerusten om toe te zien op de naleving van de verplichtingen daaruit. De lidstaten moeten er bovendien op toezien dat deze autoriteit middels het samenwerkingsverband dat de richtlijn daartoe schept (zie hierna) adequaat samenwerkt met de autoriteiten uit de andere lidstaten (artikel 6). De vraag of er een (centrale) autoriteit moet komen voor de beveiliging van Informatiesystemen is van fundamentele aard. De keuze voor een centrale autoriteit lijkt voor de hand te liggen als informatiebeveiligingsproblemen als een generiek en zelfstandig ICT probleem gezien worden. Centralisering faciliteert dan een eenduidige aanpak, mede in internationaal verband. De vraag is evenwel of sprake is van een generiek en zelfstandig ICT probleem. Informatiesystemen zijn dienend aan bedrijfsprocessen. Informatiebeveiliging lijkt een aspect van een kwalitatief hoogwaardige informatieverwerking binnen het gediende proces en lijkt daarvan moeilijk los gezien te kunnen worden. Als dit zo is, behoort de instantie die verantwoordelijk is voor toezicht op het bedrijfsproces anno 2014 dan niet over de capaciteit te beschikken om toe te kunnen zien op de veiligheid van gebruikte systemen? Ook als sprake is van een zelfstandig probleem, moet bedacht worden dat beveiligingsproblemen hun oorsprong zowel in de techniek als in het gebruik daarvan vinden. Beiden kunnen bijvoorbeeld sterk verschillen per sector. Hetzelfde geldt voor de potentiële gevolgen van incidenten. Het zal bijvoorbeeld uitmaken of een systeem betalingsverkeer ondersteunt, de luchtverkeersleiding assisteert of een drinkwaterzuiveringssysteem bedient. Dit alles maakt dat per sector een andere, meer of minder vergaande aanpak nodig kan zijn. Op basis van het voorgaande lijkt verantwoordelijkheid voor de veiligheid van Informatiesystemen thuis te horen bij de instantie die verantwoordelijk is voor het toezicht op de met die systemen gediende processen. Dat hoeft Europese samenwerking niet te belemmeren. Sterker nog, veel sectorale toezichthouders werken al samen in Europees verband. Het bestaan van geoliede samenwerkingsverbanden kan de invoering van nieuwe wetgeving aanzienlijk versnellen. Gezien de urgentie van de problematiek zou dat geen overbodige luxe zijn. Wij vragen ons daarom af de NIB- Richtlijn er goed aan doet om het inrichten van nieuwe centrale nationale autoriteiten dwingend voor te schrijven. Zo de keuze voor een centrale autoriteit al gemaakt kan worden, lijkt ons dat lidstaten zelf het beste in staat zijn om dit te beoordelen. De NIB-Richtlijn erkent overigens dat de aangewezen toezichthouder bij het uitvoeren van haar taken in het vaarwater van andere instanties zal komen. Zij wordt daarom verplicht om incidenten die vermoedelijk samenhangen met (zware) criminele activiteiten te melden bij justitiële autoriteiten. Bij het behandelen van incidenten waarbij persoonsgegevens betrokken zijn, dient zij samen te werken met de autoriteiten op het gebied van de privacybescherming. Overlap met vereisten uit andere rechtsgebieden 18 ENISA, National Cyber Security Strategies - Setting the course for national efforts to strengthen security in cyberspace, 8 mei ENISA houdt op haar website een actueel overzicht bij van de stand van zaken. Zie 19 Ministerie van Veiligheid en Justitie, Nationale Cyber Security Strategie 2 (NCSS 2) - Van bewust naar bekwaam, 28 oktober Ministerie van Veiligheid en Justitie (NCSC), Cybersecuritybeeld Nederland CSBN-3, juni Idem., zie: NCSS 2, p ICT Innovatie Platform Veilig Verbonden, National Cyber Security Research Agenda II, 30 september 2013

6 ligt voor de hand en het risico bestaat dat dubbele of zelfs conflicterende vereisten in het leven geroepen worden. Er kunnen ook lacunes ontstaan. Dit alles heeft veel invloed op de kosten voor naleving van de regelgeving en kan de effectiviteit daarvan sterk ondergraven. Dit vraagt daarom specifieke aandacht tijdens het wetgevingsproces. Overigens wordt een van de specifieke taken van de aangewezen nationale autoriteit om toezicht te houden op de naleving van de beveiligingsplicht en de meldplicht voor incidenten die de NIB-Richtlijn oplegt. Daartoe wordt haar de mogelijkheid gegeven om partijen te onderwerpen aan beveiligingsaudits door gekwalificeerd onafhankelijke lichamen of autoriteiten. Onduidelijk is op welk soort onafhankelijk lichaam of autoriteiten het voorstel doelt; vallen daaronder ook commerciële auditors? Wordt hiermee niet impliciet een mogelijkheid geschapen om de beoogde partijen tot certificering te dwingen? Ruimhartig gebruik van een dergelijke bevoegdheid kan verschillen in het leven roepen tussen lidstaten. Dit risico vraagt om nadere aandacht. Inrichting van een nationaal Computer Emergency Response Team In aanvulling op het aanstellen van een autoriteit voor de beveiliging van Informatiesystemen, vereist de NIB-Richtlijn dat iedere lidstaat een zogenaamd Computer Emergency Response Team ("CERT") inricht (artikel 7). Dat is een organisatie die beveiligingsincidenten helpt voorkomen en helpt ingrijpen wanneer deze zich voordoen. ENISA stelt dat like a fire brigade, they are the only ones which can react when security incidents occur. 23 Het op te richten CERT moet handelen onder toezicht van de op grond van de richtlijn aangewezen nationale beveiligingsautoriteit. Het mag daarvan ook een onderdeel zijn. Nederland heeft reeds zo n nationaal CERT als onderdeel van het Nationale Cyber Security Centrum dat opereert als onderdeel van het Ministerie van Veiligheid en Justitie. Wij onderschrijven het belang van het hebben van een CERT, maar wijzen ook op de beperkingen van haar rol bij het adresseren van de algehele problematiek waar de NIB-Richtlijn zich op richt. Die wordt overschat door het soms levende idee dat het voornaamste dat we nodig hebben een team computerhelden is of, om aan te haken op gebruikte analogieën, een digitale brandweer. Gegeven de eerder beschreven fundamentele oorzaken van beveiligingsproblemen behoren zij in de eerste plaats te worden aangepakt in de bedrijfsprocessen waartoe zij behoren en de ICT beheerorganisaties die daaraan dienstbaar zijn. Daar ligt de verantwoordelijkheid voor de dagelijkse gang van zaken en bestaat het overzicht om fundamentele bescherming tegen incidenten vorm te kunnen geven (incl. het inplannen van back-up voorzieningen en het onderhouden van beveiligingsbeleid en disaster-recovery plannen). Slechts bepaalde incidenten horen bij een CERT thuis. Men denke inderdaad aan incidenten door toedoen van kwaadwillend handelen. Het voorstel erkent dit onderscheid onvoldoende. Verplichte samenwerking tussen de lidstaten Vanwege het reeds gememoreerde mondiale karakter van het internet kunnen risico s en incidenten grensoverschrijdende oorzaken en gevolgen hebben. De Commissie is van mening dat het daarom noodzakelijk is om lidstaten te verplichten tot samenwerking bij het bestrijden hiervan. 24 Een geïnstitutionaliseerd samenwerkingsverband De aangewezen autoriteiten in de lidstaten en de Commissie moeten een samenwerkingsverband vormen waarbinnen zij continue met elkaar in verbinding staan en structureel met elkaar samenwerken bij het bestrijden van risico s en incidenten (artikel 8). Noemenswaardig is dat de NIB-Richtlijn voor de Unie ook de mogelijkheid schept om overeenkomsten aan te gaan met niet-lidstaten voor deelname aan de activiteiten van het samenwerkingsverband (artikel 13). Vanuit het Parlement is bovendien geopperd om ook de mogelijkheid te formaliseren dat private partijen deelnemen aan bijvoorbeeld het uitwisselen van kennis, capaciteitsopbouw en oefeningen. 25 Het verband dient samen te werken rondom het onderhouden van nationale NIS strategieën en daarmee gemoeide capaciteiten (bijvoorbeeld door coördineren van kennisoverdracht en het 23 ENISA, Factsheet: Emergency Response to Security Breaches, 14 mei Idem, zie: SWD(2013)31, 7 februari 2013, p Zie Amendement 41 en toelichting op pagina 53, European Parliament (Committee on the Internal Market and Consumer Protection), Draft Report, 2013/0027(COD), 10 juli 2013, Amendment 41 en p. 53 and Europees Parlement (Committee on Industry, Research and Energy), Draft Opinion, 2013/0027(COD), 19 november 2013, amendement 263

7 ondernemen van oefeningen). Van belang is dat de NIB-Richtlijn de bevoegde autoriteiten van lidstaten ertoe verplicht om elkaar te waarschuwen voor bepaalde gekwalificeerde risico s en incidenten. Dit is het geval wanneer deze snel in omvang toenemen, nationale reactiecapaciteit te boven gaan of meer dan een lidstaat treffen dan wel daartoe de potentie hebben (artikel 10). De autoriteiten moeten hun reacties op dergelijke grensoverschrijdende incidenten via het samenwerkingsverband coördineren (artikel 11). De Commissie krijgt vergaande bevoegdheden om de samenwerking van het verband vorm te geven. Zij kan op eigen initiatief door middel van uitvoerende handelingen maatregelen nemen om activiteiten van het samenwerkingsnetwerk te ondersteunen. Het comité dat de NIB-Richtlijn in het leven roept om de Commissie bij te staan heeft hierbij slechts een adviserende rol (artikel 8 lid 4). De Commissie krijgt daarnaast de bevoegdheid om middels (door het comité toetsbare) uitvoeringshandelingen een samenwerkingsplan voor de Unie te onderhouden. De bedoeling is dat zij hierin de procedures uitwerkt volgens welke de samenwerking tussen lidstaten moet verlopen bij het uitwisselen van waarschuwingen en het coördineren van acties, alsmede de NIB-capaciteitsopbouw coördineert door het opstellen van programma s voor opleiding en kennisoverdracht en gezamenlijke oefeningen (artikel 12). De vraag is of deze bevoegdheden niet te vergaand ingrijpen in de nationale aanpak van beveiligingsproblemen door lidstaten. Bedenk dat de problematiek door veel lidstaten niet louter als een aspect van handelspolitiek gezien wordt, maar ook van nationale veiligheid en defensie. Ons inziens wordt vanuit het Parlement terecht voorgesteld om het samenwerkingsplan te veralgemeniseren tot een raamwerk, verplichtingen minder dwingend te maken en deze bovendien door middel van gedelegeerde wetgeving vorm te laten geven. 26 Beschikbaarheid van een veilige infrastructuur Om de beoogde samenwerking tot stand te kunnen brengen moeten lidstaten informatie kunnen delen. Met name bij het samen het bestrijden van risico s en incidenten kan dat ook zeer gevoelige informatie betreffen, zoals bijvoorbeeld kwetsbaarheden in betrokken systemen. 27 Los van de activiteiten die het samenwerkingsverband van lidstaten moet ontplooien, stelt de NIB-Richtlijn daarom eisen aan het middel waarmee informatie kan worden uitgewisseld. Voor de uitwisseling van gevoelige informatie moeten de lidstaten gebruik maken van een veilige gemeenschappelijke infrastructuur (artikel 9). Lidstaten moeten aan voorwaarden voldoen om hierop aangesloten te mogen worden en om zo toegang te kunnen krijgen tot vertrouwelijke informatie uit andere lidstaten. 28 Deze voorwaarden kunnen betrekking hebben op (i) de beschikbaarheid van een veilig, betrouwbaar en compatibel nationaal communicatiemedium en (ii) de toereikendheid van de middelen om aan het beveiligde netwerk te kunnen deelnemen. De bevoegdheid om deze criteria nader in te vullen wordt gedelegeerd aan de Commissie. Die beslist vervolgens (in de vorm van een uitvoeringshandeling) per geval over het verlenen van toegang aan de lidstaten. De preambule van de NIB-Richtlijn legt een nadruk op dit beveiligde samenwerkingsmechanisme die de eigenlijke activiteiten die het samenwerkingsverband zal ontplooien lijkt te overschaduwen. 29 Als wij ENISA goed begrijpen, is de voornaamste uitdaging in Europees verband het gebrek aan een algemeen geaccepteerd (veilige) communicatiemiddel. 30 De gekozen insteek komt ons daartoe erg zwaar over. Zo de richtlijn een specifiek communicatiemiddel zou moeten voorschrijven, kan dan niet volstaan worden met een aan de Commissie opgedragen uitvoeringshandeling? Verplichtingen voor publieke en (geselecteerde) private partijen Veel Informatiesystemen die voor het functioneren van de samenleving van vitaal belang zijn, worden beheerd door private partijen. Dat is (indirect) vaak ook het geval waar het overheidssystemen betreft, omdat die ook vaak afhankelijk zijn van diensten die worden aangeboden door systemen in beheer van 26 Zie Amendementen , Europees Parlement (Committee Industrie, Onderzoek en Energie), Concept Opinie, 2013/0027(COD), 19 november ENISA, Proactive detection of network security incidents, 7 december Zie voor een nadere beschouwing daarvan ook P. Kijewski en P. Pawliński (CERT Polska), Proactive Detection and Automated Exchange of Network Security Incidents, STO-MP-IST Idem., zie: COM(2013)48, overweging (12) en (14), p Idem., zie: COM(2013)48, overweging (12) en (14), p ENISA, Secure Communication with the CERTs & other stakeholders, 21 december 2011

8 private partijen. Een beleid dat gericht is op het verhogen van het algehele niveau van netwerk- en informatiesysteembeveiliging in de Unie moet zich daarom ook tot private partijen uitstrekken. 31 De NIB- Richtlijn richt zich daarom apart tot overheidsinstanties en (geselecteerde) private partijen (artikel 14). Kern: het treffen van beveiligingsmaatregelen en het melden van incidenten De NIB-Richtlijn verplicht aangewezen partijen ertoe om passende (technische en organisatorische) maatregelen te nemen ter controle van de risico s die de Informatiesystemen die zij controleren en gebruiken bij hun activiteiten lopen. Die maatregelen moeten in de eerste de impact van incidenten op kerndiensten van deze partijen beperken. Zo moet de continuïteit van deze diensten gegarandeerd worden. Het gehanteerde niveau van beveiliging moet passend zijn gezien de risico s die gelopen worden (artikel 14). De NIB-Richtlijn beoogt bij de uitvoering van de beveiligingsplicht het gebruik van algemene normen en specificaties voor beveiliging te stimuleren (artikel 16). De Commissie krijgt daartoe in het voorstel de bevoegdheid om bij uitvoerende handeling een lijst met standaarden te onderhouden. De NIB-Richtlijn bepaalt niet welke status deze lijst heeft en hoe vrijblijvend het gebruik van genoemde standaarden moet zijn. Moet de toepassing daarvan bijvoorbeeld leiden tot erkenning van een adequate beveiliging? Afhankelijk hiervan krijgt de Commissie verregaande invloed in de acceptatie van standaarden, hetgeen een sterk verstorend effect op de markt kan hebben. Ten onrechte opgenomen standaarden zouden mogelijk als norm geïmplementeerd en wellicht zelfs gehandhaafd worden en niet genoemde maar meer geschikte standaarden zouden ten onrechte door de markt genegeerd kunnen worden. De vraag is of dit dienstbaar is aan het doel van de NIB-Richtlijn. Incidenten worden door getroffen partijen vaak zoveel mogelijk geheim gehouden uit vrees voor reputatieschade en aansprakelijkheden. 32 Naast een verplichting om Informatiesystemen te beveiligen, wordt daarom ook een wettelijke plicht ingesteld om incidenten te melden wanneer die een significante invloed hebben op de beveiliging van de kerndiensten van de daaraan onderworpen partijen (artikel 14 lid 2). De toezichthouder kan vervolgens in het algemeen belang besluiten een incident publiekelijk bekend te maken of de meldende partij verplichten dat te doen (artikel 14 lid 2). Vanuit de toepassing gedacht is belangrijkste vraag wellicht of de definitie van een incident voldoende duidelijk is. Wat kwalificeert er voorts als een incident met significante invloed en wat exact behoort er tot de kerndiensten van een partij? Wat moet er vervolgens gemeld worden? Illustratief voor de inhoud van een melding is wellicht de meldplicht die inmiddels geldt voor aanbieders van openbare elektronische communicatiediensten. 33 Die meldplicht ziet evenwel op incidenten die betrekking hebben op persoonsgegevens. Dat brengt ons op een ander punt. De richtlijn introduceert een zoveelste meldplicht voor (beveiligings)incidenten. 34 Een fundamenteel punt is dat het laatste waar een partij tijdens een incident aandacht aan zal kunnen (en zou moeten) besteden de coördinatie van de relaties met verschillende toezichthouders tegelijk is. Overlappende verplichtingen en toezicht maken compliance namelijk bijzonder complex. Die complexiteit maakt het bovendien erg belastend. De kostenramingen van de Commissie lijken onrealistisch laag. 35 Men realiseren zich dat incidenten met een zekere omvang moeten gemeld moeten worden. De opvolging van grotere incidenten is een multidisciplinaire aangelegenheid waarbij naast de IT afdeling verschillende afdelingen binnen een onderneming betrokken zijn. Gebruikelijk is bijvoorbeeld dat onafhankelijke forensische experts assisteren bij het boven water krijgen van de juiste informatie. Meldingen en publicaties worden verder doorgaans in samenwerking met de juridische afdeling of communicatieafdeling opgesteld. Een deel van deze activiteiten zou zonder de voorgestelde meldplicht ook nodig zijn, maar een melding aan een toezichthouder vraagt evengoed om specifieke aandacht. Dat is temeer het geval wanneer het nalaten van een melding of het indienen van een onjuiste melding gesanctioneerd kan worden. De opvolging van een melding door een toezichthouder zal de noodzakelijke inspanning alleen verder vergroten. Dit alles leidt tot aanzienlijke extra kosten. Het lijkt ons raadzaam om meer aansluiting te zoeken bij bestaande meldplichten en meldingen waar mogelijk bij een enkele instantie te laten doen. 31 Idem., zie: SWD(2013)31, p Idem., zie: SWD(2013)31, p Artikel 4 Richtlijn 2009/136/EC, uitgewerkt in Verordening 611/ Mr. ir. J.M. van Essen, Nieuwe meldplichten in privacyland, P&I 2013/5, p Idem., zie: SWD(2013)31, p. 91 e.v.

9 Indien gevoelige gegevens (zoals kwetsbaarheden of persoonsgegevens) gemeld moeten worden is de vraag hoe of dit geoorloofd is en hoe die beschermd moeten worden tegen oneigenlijk gebruik. 36 De Rabobank merkte recentelijk bijvoorbeeld op dat haar meldingen in beginsel onder de openbaarheid van bestuur vallen. Zij achtte dat problematisch, omdat meldingen de configuraties en kwetsbaarheden van Informatiesystemen van zowel haarzelf als andere partijen kunnen prijsgeven. De Rabobank pleitte er op die grond voor om meldingen aan te merken als staatsgeheim. 37 Nu lijkt dit ons het noodzakelijke verder kunnen delen van informatie voorbij te schieten, maar de zorg van Rabobank is daarom niet minder begrijpelijk en de vraag is hoe daarmee om moet worden gegaan. Wij menen dat verduidelijking op voorgaande punten gediend zou zijn met een discussie omtrent het doel van de meldplicht. 38 Daarvoor lijkt vooralsnog weinig aandacht. Dit is wel vereist om een belastende maatregel als deze te kunnen legitimeren. Helderheid omtrent het doel is nodig om de voor een melding benodigde informatie te bepalen. Al naar gelang het gediende doel kunnen ook andere details van de meldplicht vormgegeven worden: wat is een meldingsplichtig incident, aan wie moet er gemeld worden, wat gaat die partij met een stortvloed aan meldingen doen en wat gaat het kosten om daar iets zinvols mee te doen? De rechtszekerheid is er niet mee gediend als de Commissie dit achteraf kan bepalen op grond van gedelegeerde wetgeving en uitvoeringshandelingen (artikel 14 leden 5 en 7). Alleen een zuivere afbakening maakt het mogelijk een effectieve regeling op te stellen. Daargelaten het doel die een eventuele meldplicht moet dienen, moet de vraag gesteld te worden of er geen geschiktere alternatieven zijn. Denkbaar is dat een vrijwaring voor aansprakelijkheden (zoals die onder omstandigheden in de VS bestaat) ook voldoende overzicht en inzicht biedt ten aanzien van incidenten. Het invoeren van een verzekeringsplicht tegen schade ten gevolge van cyber incidenten zou de handhaving van een adequaat beveiligingsniveau door wellicht kunnen verplaatsen naar de markt. Er zijn legio andere mogelijkheden denkbaar. Die zouden wij gezien de hiervoor geplaatste kanttekeningen nader overwegen alvorens een meldplicht in te voeren. Verdere keuzes omtrent de implementatie De richtlijn richt zich tot geselecteerde categorieën private spelers. Daaronder vallen (i) aanbieders van diensten van de informatiemaatschappij die de levering van dergelijke diensten door anderen mogelijk maken en (ii) beheerders van infrastructuur die van vitaal belang is voor economische en maatschappelijke functies voor energielevering, transport, bancaire dienstverlening, aandelenbeurzen en gezondheidszorg. De richtlijn bevat een indicatieve lijst van partijen in beide categorieën. Zorgelijk is wellicht de uitwerking van de eerste categorie met daarin e-commerce platforms en cloud computing services, hetgeen ertoe leidt dat praktisch alle partijen die diensten via internet ontsluiten binnen bereik komen. De vraag is of het doel van de richtlijn dat rechtvaardigt. ECOSOC stelt het andere uiterste voor en wil lidstaten verplichten onderworpen partijen aan te wijzen en in een publiek register op te nemen. 39 Een gepaste tussenoplossing zou mogelijk moeten zijn. De richtlijn zondert micro ondernemingen vervolgens uit van haar werkingssfeer. De vraag is of dit terecht is. Informatietechnologie stelt juist (relatief) kleine ondernemingen in staat om cruciale diensten aan te bieden, waarbij gemakkelijk grote hoeveelheden gevoelige gegevens verwerkt worden. Nu de verplichtingen risico-gestuurd moeten zijn, zou het niet onverstandig zijn deze partijen binnen bereik van de richtlijn te houden. Met hun positie kan wellicht beter rekening gehouden worden bij de handhaving. Terecht adviseert ECOSOC voorts om aandacht te besteden aan de kennis en vaardigheden van kleine spelers - kennis die anders juist voor hen ontoegankelijk is ENISA, A flair for sharing encouraging information exchange between CERTs, 16 december Financieel Dagblad, Onvrede over aanpak cybercrime, 29/10/ Een meldplicht kan verschillende doelen dienen. Het kan inzicht geven in (de kans op verwezenlijking van) risico s, hetgeen in de eerste plaats technische informatie over het incident vereist. In economische termen maakt dit het beprijzen van risico s mogelijk. Dit stelt partijen in staat om op rationele gronden tegenmaatregelen te nemen. Technische informatie zou ook nodig zijn als de gemelde informatie er toe moet dienen om de adequaatheid van de getroffen maatregelen te controleren. Daartoe is technische informatie over die maatregelen nodig (incl. een beschrijving van de maatregelen die gefaald hebben of ontbraken). Een meldplicht kan er verder toe dienen om derden tijdig schadebeperkende maatregelen te laten treffen. Dit vraagt eerder om inzicht in aspecten van tijdstip en causaliteit dan om diepgaande technische informatie. 39 Zie overweging 1.13, ECOSOC EG, Opinion of the European Economic and Social Comittee - Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high level of network and information security across the Union - COM(2013)48 final /0027(COD), 22 mei Idem., zie: ECOSOC EG, Overweging 1.10 en 3.5

10 Interessant is voorts dat de richtlijn slechts gebruikers van informatietechnologie adresseert. Veel incidenten vinden evenwel juist hun oorsprong in de producten die gebruikt worden. 41 Die zijn in veel gevallen het gevolg van het onprofessioneel ontwikkelen daarvan, al dan niet versterkt door perverse prikkels om producten zo snel mogelijk naar de markt te krijgen. 42 Dit onderkent ook ECOSOC, dat aanbeveelt om mogelijkheden te scheppen voor verhaal van schade op producenten in zoverre gebreken in hun producten bijdragen aan incidenten. 43 Hoewel dat tot praktische problemen van geheel eigen aard zal leiden (causaliteit is veelal moeilijk vast te stellen), sluiten wij ons aan bij het principe dat producenten bij het adresseren van deze problematiek betrokken moeten worden. Conclusie De Commissie acht het niveau van beveiliging van Informatiesystemen in de Unie onvoldoende en acht dit een risico voor het functioneren van de interne markt. Zij heeft een strategie geformuleerd om het niveau van beveiliging te verhogen. Het voorstel voor de NIB-Richtlijn van begin 2013 is een van de concrete acties ter uitvoering daarvan. In zowel de Raad als het Europees Parlement is het voorstel in beginsel positief ontvangen. In de Raad is daarover in 2013 meerdere keren overlegd. Naar wij begrijpen vindt evenwel nog steeds hevige discussie plaats over fundamentele aspecten daarvan en is nog geen nader standpunt ingenomen over de verder gewenste vormgeving. Vanuit het Europees Parlement zien wij concretere initiatieven, waaronder gedetailleerde amendementen. Van het Parlement wordt verwacht dat zij eind januari 2014 haar definitieve positie bekend zal maken. Wij onderkennen dat de beveiliging van Informatiesystemen aandacht behoeft en wij onderschrijven de noodzaak van Europees gecoördineerd handelen. Wij vragen ons af of de NIB-Richtlijn hieraan in haar huidige vorm optimaal bijdraagt. De huidige stand van het initiatief biedt ruimte om onbenutte kansen alsnog te gebruiken en om praktische bezwaren nader te overwegen. Wij beperken ons tot onze belangrijkste observaties. Een fundamenteel punt van kritiek is dat de discussies rondom de vormgeving van de NIB-Richtlijn teveel uitgaan van het bestrijden van incidenten door toedoen van kwaadwillend handelen. Als de invulling van de te introduceren verplichtingen (zoals het onderhouden van cyber security strategieën en gestructureerde samenwerking) die lijn volgt, wordt de eigenlijke problematiek miskend en zullen maatregelen beperkt effect sorteren. De doelstellingen van de NIB-Richtlijn zouden daarom nader en nadrukkelijker moeten worden overwogen en afgebakend. Het voorstel erkent dat het belangrijk is om de private sector te adresseren en schept daartoe onder andere voor hen een beveiligingsverplichting en een meldplicht voor incidenten. De invoering van deze verplichtingen en de gekozen vorm daarvoor pakken mede daarom onvoldoende effectief uit. In het licht daarvan legitimeert de Commissie de noodzaak daartoe onvoldoende. Er moet duidelijker bepaald worden welke doeleinden de verplichtingen dienen. Nu worden zij aan dermate brede categorieën van partijen opgelegd dat de beoogde proportionaliteit ontbreekt: met de opname van e-commerce en cloud aanbieders komen in feite alle aanbieders van moderne software en online diensten binnen de toepassingssfeer. Tegelijkertijd worden producenten van ICT producten en micro-ondernemingen uitgezonderd, terwijl zij juist veel risico s veroorzaken. De meldplicht is verder weinig concreet in wat zij van onderworpen partijen vraagt en zal in haar huidige vorm onnodig belastend zijn. Een ander punt is dat de beveiligingsnorm in haar huidige vorm een risico herbergt om de markt te verstoren door de Commissie technische standaarden te laten aanwijzen. Informatiebeveiliging wordt in de discussie rondom het voorstel teveel als een zelfstandig probleem gezien. Illustratief is ook de wens om hiervoor een aparte richtlijn op te stellen, om iedere lidstaat te verplichten om een centrale autoriteit aan te wijzen voor toezicht daarop en om af te dwingen dat iedere lidstaat een CERT in het leven roept. Wij benadrukten al dat informatiebeveiliging een eigenschap is van een kwalitatief hoogwaardige informatiehuishouding. Meer dan aandacht voor beveiliging en nieuwe beveiligingsmechanismen en producten is aandacht vereist voor hoogwaardige(re) technologie en professioneel gebruik daarvan. Voor het stimuleren daarvan kan onder andere gedacht worden aan het 41 Idem., zie: Ponemon, p T. Moore & R. Anderson, Economics and Internet Security: a Survey of Recent Analytical, Empirical and Behavioral Research, TR-03-11, Computer Science Group, Harvard University, Idem., zie: ECOSOC EG, Overweging 1.10 en 4.9

11 introduceren van financiële (bijv. subsidies) en juridische prikkels (bijv. aansprakelijkheden). Het zou de Commissie sieren om een fundamentelere aanpak niet te schuwen.

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

JC 2014 43 27 May 2014. Joint Committee Richtsnoeren voor de behandeling van klachten door de effectensector (ESMA) en de bankensector (EBA)

JC 2014 43 27 May 2014. Joint Committee Richtsnoeren voor de behandeling van klachten door de effectensector (ESMA) en de bankensector (EBA) JC 2014 43 27 May 2014 Joint Committee Richtsnoeren voor de behandeling van klachten door de effectensector (ESMA) en de bankensector (EBA) 1 Inhoudsopgave Richtsnoeren voor de behandeling van klachten

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Bestuurlijke Netwerkkaarten Crisisbeheersing

Bestuurlijke Netwerkkaarten Crisisbeheersing Bestuurlijke Netwerkkaarten Crisisbeheersing Kaart 21 - Telecommunicatie 21 Telecommunicatie Voor media/omroepen, zie bestuurlijke netwerkkaart media Versie april 2012 crisistypen (dreigende) uitval van

Nadere informatie

Hof van Justitie verklaart de richtlijn betreffende gegevensbewaring ongeldig

Hof van Justitie verklaart de richtlijn betreffende gegevensbewaring ongeldig Hof van Justitie van de Europese Unie PERSCOMMUNIQUÉ nr. 54/14 Luxemburg, 8 april 2014 Pers en Voorlichting Arrest in gevoegde de zaken C-293/12 en C-594/12 Digital Rights Ireland en Seitlinger e.a. Hof

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2013 2014 26 643 Informatie- en communicatietechnologie (ICT) Nr. 297 BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE Aan de Voorzitter van de Tweede Kamer

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen EIOPA-BoS-12/069 NL Richtsnoeren voor de behandeling van klachten door verzekeringsondernemingen 1/8 1. Richtsnoeren Inleiding 1. Artikel 16 van de Eiopa-verordening 1 (European Insurance and Occupational

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Leidraad om te komen tot een praktijk van Responsible Disclosure

Leidraad om te komen tot een praktijk van Responsible Disclosure Leidraad om te komen tot een praktijk van Responsible Disclosure 1 Inhoudsopgave 1 Wat is een kwetsbaarheid 2 Responsible Disclosure 3 Verantwoordelijkheden 4 Bouwstenen voor Responsible Disclosure 2 Inleiding

Nadere informatie

Is er een standaard oplossing voor Cyber Security?

Is er een standaard oplossing voor Cyber Security? Is er een standaard oplossing voor Cyber Security? Jaarcongres ECP 15 november 2012 Douwe Leguit Nationaal Cyber Security Centrum Wat staat u te wachten? Deagenda Trends Casuïstiek Uitdagingen Nationaal

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Digital agenda Deel V. juli 2015

Digital agenda Deel V. juli 2015 Digital agenda Deel V juli 2015 Inhoudstafel Deel V - Bescherming en beveiliging van digitale gegevens... 1 V.1 Cybersecurity... 1 V.2 Beveiliging van betalingen... 3 V.3 Vertrouwen van de consumenten

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

RAAD VAN DE EUROPESE UNIE. Brussel, 29 november 2001 (03.12) (OR. en) 14378/01 LIMITE ECO 345 JAI 153 PESC 488

RAAD VAN DE EUROPESE UNIE. Brussel, 29 november 2001 (03.12) (OR. en) 14378/01 LIMITE ECO 345 JAI 153 PESC 488 RAAD VAN DE EUROPESE UNIE Brussel, 29 november 2001 (03.12) (OR. en) 14378/01 LIMITE ECO 345 JAI 153 PESC 488 NOTA van: COREPER d.d.: 20 november 2001 aan: RAAD nr. vorig doc.: 14377/01 ECO 344 JAI 152

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Meldplicht datalekken Thomas van Essen. 31 maart 2016 Meldplicht datalekken Thomas van Essen 31 maart 2016 Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen

Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen EIOPA(BoS(13/164 NL Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Goedgekeurd op 11 februari 2011

Goedgekeurd op 11 februari 2011 GROEP GEGEVENSBESCHERMING ARTIKEL 29 00327/11/NL WP 180 Advies 9/2011 betreffende het herziene voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke

Nadere informatie

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1 Amersfoort, april 2013; versie 1.1 COMMUNIQUÉ Inleiding Vanuit de markt rijst steeds vaker de vraag hoe ICT binnen bedrijfsomgevingen veilig en betrouwbaar gegarandeerd kan blijven. Binnenkort zullen ongetwijfeld

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE

INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE INHOUDSOPGAVE Paragraaf Inleiding... 1-3 Definities... 4 Gebeurtenissen die zich vóór de datum van de controleverklaring

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 29 304 Certificatie en accreditatie in het kader van het overheidsbeleid Nr. 5 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN Aan de Voorzitter van

Nadere informatie

Samenwerkingsprotocol

Samenwerkingsprotocol Samenwerkingsprotocol Consumentenautoriteit Stichting Reclame Code 1 Samenwerkingsprotocol tussen de Consumentenautoriteit en de Stichting Reclame Code Partijen: 1. De Staatssecretaris van Economische

Nadere informatie

De slachtoffers"-richtlijn

De slachtoffers-richtlijn CENTRE FOR EUROPEAN CONSTITUTIONAL LAW THEMISTOKLES AND DIMITRIS TSATSOS FOUNDATION De slachtoffers"-richtlijn De bescherming van slachtoffers voorafgaand, tijdens en na strafproces staat bovenaan de agenda

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

PUBLIC RAAD VA DE EUROPESE U IE. Brussel, 5 juni 2008 (23.06) (OR. fr) 10285/08 ADD 2 LIMITE JURI FO 45 JAI 305 JUSTCIV 119 COPE 118 CRIMORG 87

PUBLIC RAAD VA DE EUROPESE U IE. Brussel, 5 juni 2008 (23.06) (OR. fr) 10285/08 ADD 2 LIMITE JURI FO 45 JAI 305 JUSTCIV 119 COPE 118 CRIMORG 87 Conseil UE RAAD VA DE EUROPESE U IE Brussel, 5 juni 2008 (23.06) (OR. fr) PUBLIC 10285/08 ADD 2 LIMITE JURI FO 45 JAI 305 JUSTCIV 119 COPE 118 CRIMORG 87 I GEKOME DOCUME T van: de heer Jordi AYET PUIGARNAU,

Nadere informatie

Commissie juridische zaken. aan de Commissie industrie, onderzoek en energie

Commissie juridische zaken. aan de Commissie industrie, onderzoek en energie EUROPEES PARLEMENT 2009-2014 Commissie juridische zaken 25.6.2013 2013/2063 (INI) ONTWERPADVIES van de Commissie juridische zaken aan de Commissie industrie, onderzoek en energie inzake het vrijmaken van

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

No.W06.15.0231/III 's-gravenhage, 21 augustus 2015

No.W06.15.0231/III 's-gravenhage, 21 augustus 2015 ... No.W06.15.0231/III 's-gravenhage, 21 augustus 2015 Bij Kabinetsmissive van 9 juli 2015, no.2015001243, heeft Uwe Majesteit, op voordracht van de Minister van Financiën, mede namens de Minister van

Nadere informatie

Adviesraad voor wetenschap, technologie en innovatie DURVEN DELEN OP WEG NAAR EEN TOEGANKELIJKE WETENSCHAP

Adviesraad voor wetenschap, technologie en innovatie DURVEN DELEN OP WEG NAAR EEN TOEGANKELIJKE WETENSCHAP Adviesraad voor wetenschap, technologie en innovatie DURVEN DELEN OP WEG NAAR EEN TOEGANKELIJKE WETENSCHAP Adviesraad voor wetenschap, technologie en innovatie!! " # "# $ -. #, '& ( )*(+ % & /%01 0.%2

Nadere informatie

Regels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders

Regels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders Regels voor de continuïteit van telecomdiensten Zorg- en meldplicht voor openbare aanbieders Als aanbieder van openbare elektronische telecommunicatienetwerken en/of diensten gelden voor u binnenkort twee

Nadere informatie

Eerste Kamer der Staten-Generaal

Eerste Kamer der Staten-Generaal Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2014 2015 33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Wat is de Cyberdreiging in Nederland?

Wat is de Cyberdreiging in Nederland? Wat is de Cyberdreiging in Nederland? Wat is de rol van Defensie? DS/Directie Plannen Kol ir. Hans Folmer Commandant Taskforce Cyber 11 april 2014 Digitale omgeving 2 De veranderende informatiemaatschappij

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Wolter Karssenberg RE, CIPP/E, CIPM drs. Erik König EMITA 10 december 2015 Agenda Datalekken Meldplicht Beleidsregels Beheersen So what! We ll just pay the fine! 2 Agenda Datalekken

Nadere informatie

Vast commissie voor Veiligheid en Justitie Tweede Kamer der Staten-Generaal Binnenhof 4 2513 AA DEN HAAG

Vast commissie voor Veiligheid en Justitie Tweede Kamer der Staten-Generaal Binnenhof 4 2513 AA DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31(0)646282693 Postbus 10746 KvK 34 12 12 86 E simone.halink@bof.nl 1001 ES Amsterdam W https://www.bof.nl Vast commissie voor Veiligheid en Justitie Tweede Kamer

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2010 2011 22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie Nr. 1210 BRIEF VAN DE STAATSSECRETARIS VAN BUITENLANDSE

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Het Europese privacyrecht in beweging

Het Europese privacyrecht in beweging Presentatie van de NOREA-publicatie Het Europese privacyrecht in beweging Opsteller: Mr. dr. A.W. (Anne-Wil) Duthler NOREA, Duthler Associates Amsterdam, 13 december 2012 Agenda Inhoud Europese privacyverordening

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Veilig samenwerken met de supply-chain

Veilig samenwerken met de supply-chain Veilig samenwerken met de supply-chain TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V. TSCP We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

ons kenmerk BB/U201201379

ons kenmerk BB/U201201379 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ledenbrief Informatiebeveiligingsdienst (IBD) uw kenmerk ons kenmerk BB/U201201379 bijlage(n) datum 12 oktober

Nadere informatie

De Minister van Veiligheid en Justitie. Postbus 20301 2500 EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige

De Minister van Veiligheid en Justitie. Postbus 20301 2500 EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Minister van Veiligheid en Justitie

Nadere informatie

RAAD VAN DE EUROPESE UNIE. Brussel, 28 mei 2008 (04.06) (OR. en) 9935/08 SOC 316 COMPET 194

RAAD VAN DE EUROPESE UNIE. Brussel, 28 mei 2008 (04.06) (OR. en) 9935/08 SOC 316 COMPET 194 RAAD VAN DE EUROPESE UNIE Brussel, 28 mei 2008 (04.06) (OR. en) 9935/08 SOC 316 COMPET 194 VERSLAG van: het Comité van permanente vertegenwoordigers (1e deel) aan: de Raad EPSCO Nr. vorig doc.: 9081/08

Nadere informatie

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen. Speech Erik Akerboom, Secretaris-generaal Ministerie van Defensie Symposium KVNRO Cybercrime, de digitale vijand voor ons allen Donderdag 20 november, KMA te Breda Dames en heren, Welkom op dit symposium

Nadere informatie

hitr Lc C haïïciçc the status quo INTERNETCON $ ULTATIE WET GEGEVENSVERWERKING EN MELI)PLICHT CYBERSECURITY Status per 20150306 2.

hitr Lc C haïïciçc the status quo INTERNETCON $ ULTATIE WET GEGEVENSVERWERKING EN MELI)PLICHT CYBERSECURITY Status per 20150306 2. - J INTERNETCON $ ULTATIE WET GEGEVENSVERWERKING EN MELI)PLICHT CYBERSECURITY Status per 20150306 hitr Lc 1. INLEIDING / HISTORIE Datalekken en Cybersecurity incidenten komen sinds een aantal jaren steeds

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

concept 16 juli 2013 t.b.v. consultatie

concept 16 juli 2013 t.b.v. consultatie concept 16 juli 2013 t.b.v. consultatie Wet houdende regels over het melden van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus 20101 2500 EC Den Haag Ministeriële regeling afsluitingen

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus 20101 2500 EC Den Haag Ministeriële regeling afsluitingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN de minister van Economische Zaken,

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Algemene Voorwaarden PKIoverheid Certificaten

Algemene Voorwaarden PKIoverheid Certificaten Algemene Voorwaarden PKIoverheid Certificaten Dossierhouder BCT Datum 15 maart 2011 Status Concept Versie 1.0 Inhoud 1 Definities 3 2 Toepassing 3 3 Verplichtingen en garanties Dossierhouder BCT 3 4 Verplichtingen

Nadere informatie

Gedragscode ICT-functionarissen Universiteit Twente

Gedragscode ICT-functionarissen Universiteit Twente Universitair Informatiemanagement Kenmerk: SB/UIM/12/1107/khv Datum: 13 december 2012 Gedragscode ICT-functionarissen Universiteit Twente Vanuit hun functie hebben ICT-functionarissen vaak verregaande

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 21460 29 juli 2014 Reglement bescherming persoonsgegevens Kansspelautoriteit De raad van bestuur van de Kansspelautoriteit,

Nadere informatie

Europese privacywet mogelijk nóg strenger

Europese privacywet mogelijk nóg strenger December 2013, Auteur: mr. J.J. Braat M +31 633 97 09 55 Europese privacywet mogelijk nóg strenger In Brussel ligt momenteel een wetsvoorstel voor een Europa-brede privacywet. De eerste aanzet voor het

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

2. Wat zijn per sector/doelgroep de algemene inzichten ten aanzien van de inhoud van de continuïteitsplannen?

2. Wat zijn per sector/doelgroep de algemene inzichten ten aanzien van de inhoud van de continuïteitsplannen? Samenvatting Aanleiding en onderzoeksvragen ICT en elektriciteit spelen een steeds grotere rol bij het dagelijks functioneren van de maatschappij. Het Ministerie van Veiligheid en Justitie (hierna: Ministerie

Nadere informatie

UITVOERINGSRICHTLIJN 2012/25/EU VAN DE COMMISSIE

UITVOERINGSRICHTLIJN 2012/25/EU VAN DE COMMISSIE 10.10.2012 Publicatieblad van de Europese Unie L 275/27 RICHTLIJNEN UITVOERINGSRICHTLIJN 2012/25/EU VAN DE COMMISSIE van 9 oktober 2012 tot vaststelling van informatieprocedures voor de uitwisseling tussen

Nadere informatie

Mogen advocaten hun data in de Cloud bewaren?

Mogen advocaten hun data in de Cloud bewaren? Cloud Computing Traditioneel staat/stond de software waar kantoren gebruik van maken voor hun dossier en/of financiële administratie, op een server die zich fysiek op het advocatenkantoor bevond. Steeds

Nadere informatie

Hierbij gaat voor de delegaties Commissiedocument SEC(2008) 1995.

Hierbij gaat voor de delegaties Commissiedocument SEC(2008) 1995. RAAD VAN DE EUROPESE UNIE Brussel, 12 juni 2008 (13.06) (OR. fr) Interinstitutioneel dossier: 2008/0110 (COD) 10637/08 ADD 2 AGRILEG 104 CODEC 769 INGEKOMEN DOCUMENT van: de heer Jordi AYET PUIGARNAU,

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus20018 2500n EA DEN HAAG

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus20018 2500n EA DEN HAAG 1 > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus20018 2500n EA DEN HAAG Afdeling Ontwikkeling en Programma's Turfmarkt 147 2511 DP Den Haag

Nadere informatie